Tech Insights

【CVE-2024-52428】WordPressプラグインAds Booster by Ads Pro 1.12以前にLFI脆弱性が発見、高い深刻度で早急な対応が必要に

【CVE-2024-52428】WordPressプラグインAds Booster by Ad...

WordPressプラグインAds Booster by Ads Pro 1.12以前のバージョンにPHP Remote File Inclusionの制御不備による深刻な脆弱性が発見された。CVSSスコア8.1の高リスクと評価され、特権やユーザー操作を必要としない点が深刻度を高めている。CWE-98に分類されるこの脆弱性は、システム全体のセキュリティに重大な影響を及ぼす可能性があり、早急な対応が求められる。

【CVE-2024-52428】WordPressプラグインAds Booster by Ad...

WordPressプラグインAds Booster by Ads Pro 1.12以前のバージョンにPHP Remote File Inclusionの制御不備による深刻な脆弱性が発見された。CVSSスコア8.1の高リスクと評価され、特権やユーザー操作を必要としない点が深刻度を高めている。CWE-98に分類されるこの脆弱性は、システム全体のセキュリティに重大な影響を及ぼす可能性があり、早急な対応が求められる。

【CVE-2024-44625】Gogsバージョン0.13.0以下にディレクトリトラバーサルの脆弱性、重大な影響のリスクに

【CVE-2024-44625】Gogsバージョン0.13.0以下にディレクトリトラバーサルの...

MITREは2024年11月15日、オープンソースのGitホスティングサービスGogsのバージョン0.13.0以下にディレクトリトラバーサルの脆弱性が存在することを公開した。CVSSスコア8.8と高く評価されており、自動化可能な攻撃手法が存在し技術的な影響も重大である。CWE-22として分類され、機密性、整合性、可用性のすべてに高い影響があるとされている。

【CVE-2024-44625】Gogsバージョン0.13.0以下にディレクトリトラバーサルの...

MITREは2024年11月15日、オープンソースのGitホスティングサービスGogsのバージョン0.13.0以下にディレクトリトラバーサルの脆弱性が存在することを公開した。CVSSスコア8.8と高く評価されており、自動化可能な攻撃手法が存在し技術的な影響も重大である。CWE-22として分類され、機密性、整合性、可用性のすべてに高い影響があるとされている。

【CVE-2024-52572】Tecnomatix Plant SimulationにWRLファイル解析の重大な脆弱性、コード実行のリスクに

【CVE-2024-52572】Tecnomatix Plant SimulationにWRL...

Siemens社はTecnomatix Plant SimulationのV2302とV2404に存在する重大な脆弱性を公開した。この脆弱性は特別に細工されたWRLファイルを解析する際に発生するスタックベースのバッファオーバーフローに関するもので、攻撃者による任意のコード実行を可能にする。CVSSスコアは3.1版で7.8、4.0版で7.3と高い評価となっており、早急な対応が必要とされている。

【CVE-2024-52572】Tecnomatix Plant SimulationにWRL...

Siemens社はTecnomatix Plant SimulationのV2302とV2404に存在する重大な脆弱性を公開した。この脆弱性は特別に細工されたWRLファイルを解析する際に発生するスタックベースのバッファオーバーフローに関するもので、攻撃者による任意のコード実行を可能にする。CVSSスコアは3.1版で7.8、4.0版で7.3と高い評価となっており、早急な対応が必要とされている。

【CVE-2024-52427】Event Tickets with Ticket Scanner 2.3.11にリモートコード実行の脆弱性、緊急アップデートが必要に

【CVE-2024-52427】Event Tickets with Ticket Scann...

WordPressプラグインEvent Tickets with Ticket Scannerにおいて、バージョン2.3.11以前に影響を及ぼすリモートコード実行の脆弱性が発見された。CVSSスコア9.9の重大な脆弱性であり、Server Side Include(SSI)インジェクションを可能にする問題が存在する。テンプレートエンジンにおける特殊要素の不適切な無害化処理が原因であり、早急なアップデートが推奨される。

【CVE-2024-52427】Event Tickets with Ticket Scann...

WordPressプラグインEvent Tickets with Ticket Scannerにおいて、バージョン2.3.11以前に影響を及ぼすリモートコード実行の脆弱性が発見された。CVSSスコア9.9の重大な脆弱性であり、Server Side Include(SSI)インジェクションを可能にする問題が存在する。テンプレートエンジンにおける特殊要素の不適切な無害化処理が原因であり、早急なアップデートが推奨される。

【CVE-2024-39726】IBM Engineering Insightsに深刻な脆弱性、機密情報漏洩のリスクが浮上

【CVE-2024-39726】IBM Engineering Insightsに深刻な脆弱性...

IBMは2024年11月15日、Engineering Lifecycle Optimization - Engineering Insights 7.0.2と7.0.3にXML外部エンティティインジェクションの脆弱性が存在することを公開した。CVSSスコア8.2の高リスク脆弱性であり、リモートからの攻撃によって機密情報の露出やメモリリソースの消費が引き起こされる可能性がある。早急な対策が求められる事態となっている。

【CVE-2024-39726】IBM Engineering Insightsに深刻な脆弱性...

IBMは2024年11月15日、Engineering Lifecycle Optimization - Engineering Insights 7.0.2と7.0.3にXML外部エンティティインジェクションの脆弱性が存在することを公開した。CVSSスコア8.2の高リスク脆弱性であり、リモートからの攻撃によって機密情報の露出やメモリリソースの消費が引き起こされる可能性がある。早急な対策が求められる事態となっている。

【CVE-2024-20538】Cisco ISEにXSS脆弱性、管理インターフェースへの不正アクセスのリスクが浮上

【CVE-2024-20538】Cisco ISEにXSS脆弱性、管理インターフェースへの不正...

CiscoのIdentity Services Engine(ISE)のWeb管理インターフェースにクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-20538として識別されるこの脆弱性により、未認証の攻撃者が正規ユーザーに細工されたリンクをクリックさせることで、任意のスクリプトを実行できる可能性がある。影響を受けるバージョンは3.0.0から3.3 Patch 3まで。CVSSスコアは6.1(Medium)と評価された。

【CVE-2024-20538】Cisco ISEにXSS脆弱性、管理インターフェースへの不正...

CiscoのIdentity Services Engine(ISE)のWeb管理インターフェースにクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-20538として識別されるこの脆弱性により、未認証の攻撃者が正規ユーザーに細工されたリンクをクリックさせることで、任意のスクリプトを実行できる可能性がある。影響を受けるバージョンは3.0.0から3.3 Patch 3まで。CVSSスコアは6.1(Medium)と評価された。

【CVE-2024-48901】Moodleに認可の脆弱性が発見、レポートスケジュール機能のセキュリティに懸念

【CVE-2024-48901】Moodleに認可の脆弱性が発見、レポートスケジュール機能のセ...

Red Hat社が学習管理システムMoodleにおける重大な脆弱性【CVE-2024-48901】を公開した。この脆弱性は、レポートスケジュールへのアクセス制御が不適切であり、権限のないユーザーがスケジュール情報にアクセス可能となる問題を引き起こす。CVSSスコアは4.3(Medium)で、複数のバージョンに影響が及ぶため、早急なアップデートが推奨される。

【CVE-2024-48901】Moodleに認可の脆弱性が発見、レポートスケジュール機能のセ...

Red Hat社が学習管理システムMoodleにおける重大な脆弱性【CVE-2024-48901】を公開した。この脆弱性は、レポートスケジュールへのアクセス制御が不適切であり、権限のないユーザーがスケジュール情報にアクセス可能となる問題を引き起こす。CVSSスコアは4.3(Medium)で、複数のバージョンに影響が及ぶため、早急なアップデートが推奨される。

【CVE-2024-20531】Cisco ISEにXXE脆弱性、Super Admin権限での任意ファイル読み取りとSSRF攻撃のリスクが発覚

【CVE-2024-20531】Cisco ISEにXXE脆弱性、Super Admin権限で...

Ciscoは2024年11月6日、Cisco Identity Services Engine (ISE)のAPIにおけるXML External Entity (XXE)インジェクションの脆弱性を公開した。この脆弱性【CVE-2024-20531】は、Super Admin権限を持つ攻撃者による任意のファイル読み取りやSSRF攻撃を可能にする。影響を受けるバージョンは3.0.0から3.4.0まで。CVSS v3.1での評価は5.5(中)となっている。

【CVE-2024-20531】Cisco ISEにXXE脆弱性、Super Admin権限で...

Ciscoは2024年11月6日、Cisco Identity Services Engine (ISE)のAPIにおけるXML External Entity (XXE)インジェクションの脆弱性を公開した。この脆弱性【CVE-2024-20531】は、Super Admin権限を持つ攻撃者による任意のファイル読み取りやSSRF攻撃を可能にする。影響を受けるバージョンは3.0.0から3.4.0まで。CVSS v3.1での評価は5.5(中)となっている。

【CVE-2024-52571】Siemens社のTecnomatix Plant Simulationに深刻な脆弱性、コード実行の危険性が発覚

【CVE-2024-52571】Siemens社のTecnomatix Plant Simul...

Siemens社は製造シミュレーションソフトウェアTecnomatix Plant SimulationのV2302とV2404に存在する重大な脆弱性を公開した。WRLファイル解析時の範囲外書き込みの脆弱性により、攻撃者がコードを実行できる可能性がある。CVSS v3.1で7.8(High)と評価される深刻な問題であり、早急なアップデートが推奨される。

【CVE-2024-52571】Siemens社のTecnomatix Plant Simul...

Siemens社は製造シミュレーションソフトウェアTecnomatix Plant SimulationのV2302とV2404に存在する重大な脆弱性を公開した。WRLファイル解析時の範囲外書き込みの脆弱性により、攻撃者がコードを実行できる可能性がある。CVSS v3.1で7.8(High)と評価される深刻な問題であり、早急なアップデートが推奨される。

【CVE-2024-52565】Tecnomatix Plant Simulationに深刻な脆弱性、製造プロセスのセキュリティリスクに警鐘

【CVE-2024-52565】Tecnomatix Plant Simulationに深刻な...

Siemensは2024年11月18日、製造プロセスシミュレーションツールTecnomatix Plant SimulationのV2302とV2404に境界外書き込みの脆弱性が存在すると発表した。特別に細工されたWRLファイルにより任意のコード実行が可能となる脆弱性で、CVSSスコアは最大7.8と高い評価を受けている。製造業のデジタルツイン実現に影響を与える可能性があり、早急な対応が求められる。

【CVE-2024-52565】Tecnomatix Plant Simulationに深刻な...

Siemensは2024年11月18日、製造プロセスシミュレーションツールTecnomatix Plant SimulationのV2302とV2404に境界外書き込みの脆弱性が存在すると発表した。特別に細工されたWRLファイルにより任意のコード実行が可能となる脆弱性で、CVSSスコアは最大7.8と高い評価を受けている。製造業のデジタルツイン実現に影響を与える可能性があり、早急な対応が求められる。

【CVE-2024-9356】YotpoのWooCommerceプラグインに脆弱性、クロスサイトスクリプティング攻撃のリスクが浮上

【CVE-2024-9356】YotpoのWooCommerceプラグインに脆弱性、クロスサイ...

WordPressのWooCommerce向けプラグイン「Yotpo: Product & Photo Reviews for WooCommerce」のバージョン1.7.8以前に、クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.1で中程度の深刻度と評価され、認証不要で攻撃が可能。入力値の検証と出力のエスケープ処理が不十分なため、被害者をリンクのクリックに誘導することで任意のスクリプト実行が可能な状態にある。

【CVE-2024-9356】YotpoのWooCommerceプラグインに脆弱性、クロスサイ...

WordPressのWooCommerce向けプラグイン「Yotpo: Product & Photo Reviews for WooCommerce」のバージョン1.7.8以前に、クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.1で中程度の深刻度と評価され、認証不要で攻撃が可能。入力値の検証と出力のエスケープ処理が不十分なため、被害者をリンクのクリックに誘導することで任意のスクリプト実行が可能な状態にある。

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が発見、ExamplePluginのデバイスNotes機能に深刻な影響

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が...

オープンソースのネットワーク監視システムLibreNMSにおいて、ExamplePluginのデバイスNotes機能にストアドXSSの脆弱性が発見された。CVSSスコア4.8の中程度の深刻度と評価され、管理者権限を持つユーザーがデバイスにNotesを追加する際のサニタイズ処理が不十分であることが原因。バージョン24.10.0で修正されており、早急なアップデートが推奨される。

【CVE-2024-49758】LibreNMS 24.10.0未満でストアドXSSの脆弱性が...

オープンソースのネットワーク監視システムLibreNMSにおいて、ExamplePluginのデバイスNotes機能にストアドXSSの脆弱性が発見された。CVSSスコア4.8の中程度の深刻度と評価され、管理者権限を持つユーザーがデバイスにNotesを追加する際のサニタイズ処理が不十分であることが原因。バージョン24.10.0で修正されており、早急なアップデートが推奨される。

【CVE-2024-48897】Moodle 4.4のRSSフィード機能に認可の脆弱性、複数バージョンでパッチを公開

【CVE-2024-48897】Moodle 4.4のRSSフィード機能に認可の脆弱性、複数バ...

Red Hat社がMoodleの認可に関する脆弱性【CVE-2024-48897】を公開した。RSSフィードの編集・削除権限の確認が不十分で、未認可ユーザーによる不正操作のリスクが存在する。影響を受けるバージョンは4.4.0-4.4.4、4.3.0-4.3.8、4.2.0-4.2.11、4.1.0-4.1.14および4.1.0以前で、CVSSスコアは6.5(MEDIUM)と評価されている。早急なアップデートが推奨される。

【CVE-2024-48897】Moodle 4.4のRSSフィード機能に認可の脆弱性、複数バ...

Red Hat社がMoodleの認可に関する脆弱性【CVE-2024-48897】を公開した。RSSフィードの編集・削除権限の確認が不十分で、未認可ユーザーによる不正操作のリスクが存在する。影響を受けるバージョンは4.4.0-4.4.4、4.3.0-4.3.8、4.2.0-4.2.11、4.1.0-4.1.14および4.1.0以前で、CVSSスコアは6.5(MEDIUM)と評価されている。早急なアップデートが推奨される。

【CVE-2024-45608】GLPIに認証済みユーザーによるSQL injection脆弱性、バージョン10.0.17で対策を実施

【CVE-2024-45608】GLPIに認証済みユーザーによるSQL injection脆弱...

GitHubは2024年11月15日、資産およびIT管理ソフトウェアパッケージGLPIにおいて、認証済みユーザーによるSQL injectionの脆弱性を公開した。CVE-2024-45608として識別されるこの脆弱性は、CVSS v3.1基本値6.5(Medium)と評価されており、バージョン9.5.0以上10.0.17未満のGLPIが影響を受ける。対策としてバージョン10.0.17へのアップグレードが推奨されている。

【CVE-2024-45608】GLPIに認証済みユーザーによるSQL injection脆弱...

GitHubは2024年11月15日、資産およびIT管理ソフトウェアパッケージGLPIにおいて、認証済みユーザーによるSQL injectionの脆弱性を公開した。CVE-2024-45608として識別されるこの脆弱性は、CVSS v3.1基本値6.5(Medium)と評価されており、バージョン9.5.0以上10.0.17未満のGLPIが影響を受ける。対策としてバージョン10.0.17へのアップグレードが推奨されている。

【CVE-2024-43418】GLPIで反映型XSS脆弱性が発見、バージョン10.0.17へのアップグレードによる対応が必要に

【CVE-2024-43418】GLPIで反映型XSS脆弱性が発見、バージョン10.0.17へ...

GitHubは2024年11月15日、資産・IT管理ソフトウェアパッケージGLPIにおいて反映型XSS脆弱性【CVE-2024-43418】を発見したことを公開した。この脆弱性は未認証ユーザーがGLPI技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSS v3.1で6.5(重要度:中)と評価されており、影響を受けるバージョンは0.65以上10.0.17未満であるため、早急なアップグレードが推奨されている。

【CVE-2024-43418】GLPIで反映型XSS脆弱性が発見、バージョン10.0.17へ...

GitHubは2024年11月15日、資産・IT管理ソフトウェアパッケージGLPIにおいて反映型XSS脆弱性【CVE-2024-43418】を発見したことを公開した。この脆弱性は未認証ユーザーがGLPI技術者に悪意のあるリンクを提供することで攻撃が可能となる。CVSS v3.1で6.5(重要度:中)と評価されており、影響を受けるバージョンは0.65以上10.0.17未満であるため、早急なアップグレードが推奨されている。

【CVE-2024-11315】TRCore DVC 6.0-6.3にPath Traversal脆弱性、webshellアップロードによる任意コード実行の危険性

【CVE-2024-11315】TRCore DVC 6.0-6.3にPath Travers...

TRCore社のDVC 6.0-6.3においてPath Traversal脆弱性が発見された。この脆弱性は認証不要でwebshellをアップロードできる危険性があり、CVSS 3.1で最高レベルの9.8(Critical)が付与されている。Path TraversalとファイルアップロードのType制限不備により、攻撃者は任意のディレクトリにファイルをアップロードし、システム全体に深刻な影響を及ぼす可能性がある。

【CVE-2024-11315】TRCore DVC 6.0-6.3にPath Travers...

TRCore社のDVC 6.0-6.3においてPath Traversal脆弱性が発見された。この脆弱性は認証不要でwebshellをアップロードできる危険性があり、CVSS 3.1で最高レベルの9.8(Critical)が付与されている。Path TraversalとファイルアップロードのType制限不備により、攻撃者は任意のディレクトリにファイルをアップロードし、システム全体に深刻な影響を及ぼす可能性がある。

【CVE-2024-11311】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性、認証なしで任意のコード実行が可能に

【CVE-2024-11311】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性...

TWCERT/CCがTRCore DVCのパストラバーサル脆弱性【CVE-2024-11311】を公開した。バージョン6.0から6.3が影響を受け、CVSSスコア9.8と深刻度が高い。認証なしでの任意のファイルアップロードが可能で、Webシェルを介した任意のコード実行のリスクがある。早急なセキュリティ対策が求められる状況となっている。

【CVE-2024-11311】TRCore DVC 6.0-6.3にパストラバーサルの脆弱性...

TWCERT/CCがTRCore DVCのパストラバーサル脆弱性【CVE-2024-11311】を公開した。バージョン6.0から6.3が影響を受け、CVSSスコア9.8と深刻度が高い。認証なしでの任意のファイルアップロードが可能で、Webシェルを介した任意のコード実行のリスクがある。早急なセキュリティ対策が求められる状況となっている。

SpecteeがAIリアルタイム防災サービスのウェビナーを開催、自治体の防災DX推進に向けた取り組みを紹介

SpecteeがAIリアルタイム防災サービスのウェビナーを開催、自治体の防災DX推進に向けた取...

株式会社Specteeは神奈川県藤沢市防災安全部危機管理課の担当者を招き、AIリアルタイム防災・危機管理サービスSpectee Proの活用方法について解説するオンラインセミナーを2024年11月29日に開催する。南海トラフや首都直下型地震、気候変動による豪雨増加など自然災害リスクが高まる中、自治体における効果的な防災対策の実現を目指している。

SpecteeがAIリアルタイム防災サービスのウェビナーを開催、自治体の防災DX推進に向けた取...

株式会社Specteeは神奈川県藤沢市防災安全部危機管理課の担当者を招き、AIリアルタイム防災・危機管理サービスSpectee Proの活用方法について解説するオンラインセミナーを2024年11月29日に開催する。南海トラフや首都直下型地震、気候変動による豪雨増加など自然災害リスクが高まる中、自治体における効果的な防災対策の実現を目指している。

【CVE-2024-11259】code-projects Farmacia 1.0にクロスサイトスクリプティングの脆弱性、医療システムのセキュリティ対策が急務に

【CVE-2024-11259】code-projects Farmacia 1.0にクロスサ...

code-projects Farmacia 1.0のfornecedores.phpファイルにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-11259として識別されるこの脆弱性は、リモートからの攻撃が可能であり、CVSS 4.0で5.3(MEDIUM)のスコアを記録。医療情報システムのセキュリティリスクとして早急な対応が求められている。

【CVE-2024-11259】code-projects Farmacia 1.0にクロスサ...

code-projects Farmacia 1.0のfornecedores.phpファイルにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-11259として識別されるこの脆弱性は、リモートからの攻撃が可能であり、CVSS 4.0で5.3(MEDIUM)のスコアを記録。医療情報システムのセキュリティリスクとして早急な対応が求められている。

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認証不要で任意のスクリプト実行が可能に

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認...

WordPressのフォームビルダープラグインTripettoにおいて、バージョン8.0.3以前に重大な脆弱性が発見された。認証不要でファイルアップロード経由の攻撃が可能であり、CVSSスコアは7.2(High)と評価されている。入力値の無害化処理と出力時のエスケープ処理が不十分であることが原因で、情報漏洩やセッションハイジャックなどのリスクが存在する。

【CVE-2024-10260】WordPressプラグインTripettoにXSS脆弱性、認...

WordPressのフォームビルダープラグインTripettoにおいて、バージョン8.0.3以前に重大な脆弱性が発見された。認証不要でファイルアップロード経由の攻撃が可能であり、CVSSスコアは7.2(High)と評価されている。入力値の無害化処理と出力時のエスケープ処理が不十分であることが原因で、情報漏洩やセッションハイジャックなどのリスクが存在する。

【CVE-2024-11244】code-projects Farmacia 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクが浮上

【CVE-2024-11244】code-projects Farmacia 1.0にSQLイ...

code-projects Farmacia 1.0のeditar-cliente.phpファイルにおいて、id引数の不適切な処理によるSQLインジェクションの脆弱性が発見された。CVSSスコアはv4.0で5.3(MEDIUM)、v3.1で6.3(MEDIUM)と評価されており、リモートからの攻撃が可能な状態となっている。既に攻撃コードも公開されており、早急な対策が必要とされている。

【CVE-2024-11244】code-projects Farmacia 1.0にSQLイ...

code-projects Farmacia 1.0のeditar-cliente.phpファイルにおいて、id引数の不適切な処理によるSQLインジェクションの脆弱性が発見された。CVSSスコアはv4.0で5.3(MEDIUM)、v3.1で6.3(MEDIUM)と評価されており、リモートからの攻撃が可能な状態となっている。既に攻撃コードも公開されており、早急な対策が必要とされている。

【CVE-2024-11313】TRCore DVCに深刻な脆弱性、認証なしで任意のコード実行が可能に

【CVE-2024-11313】TRCore DVCに深刻な脆弱性、認証なしで任意のコード実行...

TRCore DVCのバージョン6.0から6.3において、パストラバーサル脆弱性と危険なファイルのアップロード制限の欠如が発見された。CVSSスコア9.8のこの脆弱性により、認証されていないリモート攻撃者が任意のディレクトリにWebシェルをアップロードし、システム上で不正なコードを実行することが可能となる。TWCERTは早急な対策を推奨している。

【CVE-2024-11313】TRCore DVCに深刻な脆弱性、認証なしで任意のコード実行...

TRCore DVCのバージョン6.0から6.3において、パストラバーサル脆弱性と危険なファイルのアップロード制限の欠如が発見された。CVSSスコア9.8のこの脆弱性により、認証されていないリモート攻撃者が任意のディレクトリにWebシェルをアップロードし、システム上で不正なコードを実行することが可能となる。TWCERTは早急な対策を推奨している。

【CVE-2024-11257】Beauty Parlour Management System 1.0でSQLインジェクションの脆弱性が発見、パスワードリセット機能に深刻な問題

【CVE-2024-11257】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において、パスワードリセット機能に重大な脆弱性が発見された。CVE-2024-11257として登録されたこの脆弱性は、管理者用のパスワードリセットページでemailパラメータを操作することでSQLインジェクションが可能になる。CVSSスコアは最大7.3(HIGH)と評価されており、認証回避やデータベースへの不正アクセスのリスクが指摘されている。

【CVE-2024-11257】Beauty Parlour Management Syste...

1000 ProjectsのBeauty Parlour Management System 1.0において、パスワードリセット機能に重大な脆弱性が発見された。CVE-2024-11257として登録されたこの脆弱性は、管理者用のパスワードリセットページでemailパラメータを操作することでSQLインジェクションが可能になる。CVSSスコアは最大7.3(HIGH)と評価されており、認証回避やデータベースへの不正アクセスのリスクが指摘されている。

【CVE-2024-11248】Tenda AC10 16.03.10.13にバッファオーバーフローの脆弱性、リモート攻撃のリスクで早急な対応が必要に

【CVE-2024-11248】Tenda AC10 16.03.10.13にバッファオーバー...

Tenda AC10のファームウェアバージョン16.03.10.13においてスタックベースのバッファオーバーフローの脆弱性が発見された。SetSysAutoRebbotCfgファイル内のformSetRebootTimer関数でrebootTime引数の操作により発生し、CVSS 4.0で8.7、CVSS 3.1で8.8の高い深刻度を示している。既に攻撃コードが公開されており、リモートからの攻撃が可能なため早急な対策が必要とされている。

【CVE-2024-11248】Tenda AC10 16.03.10.13にバッファオーバー...

Tenda AC10のファームウェアバージョン16.03.10.13においてスタックベースのバッファオーバーフローの脆弱性が発見された。SetSysAutoRebbotCfgファイル内のformSetRebootTimer関数でrebootTime引数の操作により発生し、CVSS 4.0で8.7、CVSS 3.1で8.8の高い深刻度を示している。既に攻撃コードが公開されており、リモートからの攻撃が可能なため早急な対策が必要とされている。

【CVE-2024-22067】ZTE NH8091のWeb管理インターフェースに脆弱性、認証済み攻撃者によるコマンド実行のリスクが浮上

【CVE-2024-22067】ZTE NH8091のWeb管理インターフェースに脆弱性、認証...

ZTE CorporationはNH8091製品のWeb管理モジュールインターフェースにおいて、不適切なパーミッション制御による脆弱性【CVE-2024-22067】を公開した。この脆弱性により、認証済みの攻撃者による任意のコマンド実行が可能となり、CVSS 3.1で6.8のスコアを記録。影響を受けるバージョンはZNH8091V1.8で、機密性・完全性・可用性すべてに高い影響があるとされている。

【CVE-2024-22067】ZTE NH8091のWeb管理インターフェースに脆弱性、認証...

ZTE CorporationはNH8091製品のWeb管理モジュールインターフェースにおいて、不適切なパーミッション制御による脆弱性【CVE-2024-22067】を公開した。この脆弱性により、認証済みの攻撃者による任意のコマンド実行が可能となり、CVSS 3.1で6.8のスコアを記録。影響を受けるバージョンはZNH8091V1.8で、機密性・完全性・可用性すべてに高い影響があるとされている。

【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レポートページでの攻撃が可能に

【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レ...

GLPIプロジェクトは資産・IT管理ソフトウェアパッケージGLPIのバージョン10.0.17未満において、レポートページに存在する反射型XSS脆弱性を公開した。非認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる深刻な脆弱性であり、CVSSスコア6.5の中程度と評価された。早急なバージョン10.0.17へのアップグレードによる対策が推奨される。

【CVE-2024-45609】GLPIのバージョン10.0.17未満に反射型XSS脆弱性、レ...

GLPIプロジェクトは資産・IT管理ソフトウェアパッケージGLPIのバージョン10.0.17未満において、レポートページに存在する反射型XSS脆弱性を公開した。非認証ユーザーが技術者に悪意のあるリンクを提供することで攻撃が可能となる深刻な脆弱性であり、CVSSスコア6.5の中程度と評価された。早急なバージョン10.0.17へのアップグレードによる対策が推奨される。

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリスクに対応するアップデートを実施

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。

【CVE-2024-50352】LibreNMSにXSS脆弱性が発見、アカウント乗っ取りのリス...

オープンソースのネットワーク監視システムLibreNMSにおいて、デバイス概要ページのサービスセクションに保存型XSS脆弱性が発見された。認証済みユーザーがサービスの「name」パラメータを通じて任意のJavaScriptを実行可能であり、他ユーザーのセッション乗っ取りなどのリスクがある。LibreNMSチームは24.10.0でセキュリティパッチを提供し、脆弱性に対処している。

【CVE-2024-52574】SiemensのTecnomatix Plant Simulationに深刻な脆弱性、バッファオーバーフロー対策が急務に

【CVE-2024-52574】SiemensのTecnomatix Plant Simula...

SiemensのTecnomatix Plant Simulation V2302およびV2404において、WRLファイル処理時のバッファオーバーフロー脆弱性が発見された。CVSSスコアは最大7.8を記録し、攻撃者による任意のコード実行が可能となる危険性がある。影響を受けるバージョンはV2302.0018未満およびV2404.0007未満で、Siemens社は修正パッチを提供している。製造業のデジタル化に影響を与える可能性がある重要な脆弱性への対応が求められる。

【CVE-2024-52574】SiemensのTecnomatix Plant Simula...

SiemensのTecnomatix Plant Simulation V2302およびV2404において、WRLファイル処理時のバッファオーバーフロー脆弱性が発見された。CVSSスコアは最大7.8を記録し、攻撃者による任意のコード実行が可能となる危険性がある。影響を受けるバージョンはV2302.0018未満およびV2404.0007未満で、Siemens社は修正パッチを提供している。製造業のデジタル化に影響を与える可能性がある重要な脆弱性への対応が求められる。

【CVE-2024-52570】Tecnomatix Plant SimulationにWRLファイル解析の脆弱性、コード実行のリスクが発生

【CVE-2024-52570】Tecnomatix Plant SimulationにWRL...

SiemensのTecnomatix Plant Simulation V2302およびV2404において、WRLファイル解析時のOut-of-bounds Write脆弱性が発見された。CVSSスコアは7.8(High)と評価され、攻撃者による任意のコード実行のリスクがある。影響を受けるバージョンはV2302の0から2302.0018未満およびV2404の0から2404.0007未満で、早急なアップデートが推奨される。

【CVE-2024-52570】Tecnomatix Plant SimulationにWRL...

SiemensのTecnomatix Plant Simulation V2302およびV2404において、WRLファイル解析時のOut-of-bounds Write脆弱性が発見された。CVSSスコアは7.8(High)と評価され、攻撃者による任意のコード実行のリスクがある。影響を受けるバージョンはV2302の0から2302.0018未満およびV2404の0から2404.0007未満で、早急なアップデートが推奨される。

【CVE-2024-52566】Tecnomatix Plant Simulationに境界外書き込みの脆弱性、コード実行のリスクで早急な対応が必要に

【CVE-2024-52566】Tecnomatix Plant Simulationに境界外...

Siemensは2024年11月18日、Tecnomatix Plant Simulation V2302およびV2404に存在する重大な脆弱性情報を公開した。特別に細工されたWRLファイルを処理する際に発生する境界外書き込みの問題で、現在のプロセスのコンテキストでコードが実行される可能性がある。CVSSスコアは7.8と高く評価されており、早急な対応が求められている。

【CVE-2024-52566】Tecnomatix Plant Simulationに境界外...

Siemensは2024年11月18日、Tecnomatix Plant Simulation V2302およびV2404に存在する重大な脆弱性情報を公開した。特別に細工されたWRLファイルを処理する際に発生する境界外書き込みの問題で、現在のプロセスのコンテキストでコードが実行される可能性がある。CVSSスコアは7.8と高く評価されており、早急な対応が求められている。